莫大な新型ランサムウェアの実害／攻撃グループMazeとは

新型ランサムウェアによる被害状況

　まず、以下の図をご覧ください。米国のShadow Intelligence社が業界ごとのランサムウェアによる被害状況をまとめたものになります。ご覧の通り、製造業や流通業の被害が多いことがわかります。さらに詳細を見ていくと、上から順に製造業は原材料、建設、消費財、流通業は小売り、運輸、設備となっています。

　これら製造業や流通業の売上規模や従業員数の平均も似通ったものとなっています。もちろん平均なので各社大小はあるでしょうが、中堅サイズの会社が被害にあっていると推測されます。

　さて、新型ランサムウェアによる実際の被害についてです。第2回で紹介をした弊社の対応事案のケースですが、事案対応として二次被害や再発を防ぐため、パッチ適用、アカウントリセットなど攻撃に対する適切な調査と対処を実施する必要がありました。不審なActive Directory管理者アカウントの調査と不要なアカウントの削除、必要な管理者の端末を固定するなど対応が終了するまでは全システムを停止する必要があり、3日間ネットワークを停止することになりました。また、このケースではVPN装置の脆弱性を突かれて侵入され、Active Directoryが乗っ取られたため、VPN装置のパッチ適用やアカウントリセット、調査・対応が終わるまでは停止する必要があり、コロナ禍でテレワークを実施されていたにも関わらず、社員は作業が終了するまで1週間出社を余儀なくされました。

　この間、情報システム部はもちろん、急遽全社員が出社することになり、総務、人事はその対応に追われ、場合によっては情報漏洩の可能性を考慮し、法務や広報といった関連各部署がそれぞれ対応した工数を考えると非常に大きな犠牲を払ったと言えます。その対応の間企業活動に影響が出たことは否めません。不幸中の幸いでこのケースではネットワークの停止が3日程度で済みましたが（当該企業にとってはそれでも大きな事業インパクトですが）、適切なセキュリティ対策が取られていなかったり、調査に必要な情報（通信経路情報やログなど）が取られていなかったりと、適切な管理がされていないと、社内に入り込んだマルウェアの除去が完全にできるまでインターネット通信を止めなければならず（つまり、インターネット上にある攻撃者のサーバに接続をされたまま情報流出が続いている可能性があるため、通信を遮断する必要がある）別のケースではそれが数週間に及んだ事案もあります。

　このケースでは最終的には情報漏洩は認められませんでしたが、暴露型ランサムウェアの攻撃によって実際に情報が窃取され、攻撃者から情報公開の取り下げと引き換えに身代金を要求されたケースを考察してみましょう。